zoukankan      html  css  js  c++  java
  • [8期]浅谈当代安全验证问题

    用户名错误会提示你,而不进行密码和验证码的验证(未重新执行验证码脚本)

    错误的玩法:验证用户名-验证密码-验证验证码

    正确的玩法:验证验证码-刷新验证码-验证用户名-验证密码

    无论后端验证码强度有多高,前端沦陷都没用   【还没有验证验证码,页面就跳转提示你账号密码错误】

    语音播报验证码     调用语音识别API应对

    滑动验证码对付打码平台,简单的机器学习对付滑动验证码     【按键精灵,基于机器学习的思维】

    存在静态底图,通过css在前端产生动态效果,在前端JS里就能看到原理

    在前端:安全的登陆点只有一种,需满足两个条件

    1.无论用户名还是密码错误,全部都会重新执行验证码脚本(不包括本页面JS验证)

    2.在本页面加载(不经过30x跳转)

    3.宁可速度慢也不能舍去安全

    在后端:使用智能waf机制,有效防御爆破(撞库)情况        

    把有用的核心东西放在后端

    人工智能waf:一个IP或者多个IP,数据包里只有一个密码在改变,它会觉得你在爆破。

    反人工智能:多个账号同时入手,同一时间段验证同一账号的次数设置到安全次数以内。

    12306的验证算法,的确是国内顶尖的算法了。给一个名称,从图片引擎里面调用一个图片,判断哪个图片有。     【识别所有的图片大概可以破解,难度很大,有时人都识别不了】

    最后,聊聊知识源的出处:很多验证算法,只要学过算法的,反一下算法来破解就可以了,比如ORC算法。       【提出这个是在强调,不要不学算法的知识】

  • 相关阅读:
    MORMOT数据库连接池
    TOleDBMSSQLConnectionProperties驱动MSSQL数据库
    mORMot访问远程数据库
    mormot 直接使用UNIDAC引擎操作数据库
    mormot 数据集和JSON互相转换
    Go -- 读取文件内容
    nginx -- 启动, 重启, 关闭
    JS -- 一篇文章掌握RequireJS常用知识
    用JS获取地址栏参数的方法(超级简单)
    git -- 忽略某个文件
  • 原文地址:https://www.cnblogs.com/sec875/p/10804057.html
Copyright © 2011-2022 走看看